Konfigurationsdienstanbieter für IT-Experten

In diesem Artikel wird erläutert, wie IT-Experten und Systemadministratoren viele Einstellungen nutzen können, die über Konfigurationsdienstanbieter (Configuration Service Providers, CSPs) verfügbar sind, um Geräte zu konfigurieren, auf denen windows-Client in ihren Organisationen ausgeführt wird. CSPs machen Gerätekonfigurationseinstellungen im Windows-Client verfügbar. Die CSPs werden von Dienstanbietern für die Verwaltung mobiler Geräte (Mobile Device Management, MDM) verwendet und im Hardware Dev Center dokumentiert.

Was ist ein CSP?

Im Clientbetriebssystem ist ein CSP die Schnittstelle zwischen Konfigurationseinstellungen, die in einem Bereitstellungsdokument angegeben sind, und Konfigurationseinstellungen, die sich auf dem Gerät befinden. CSPs ähneln Gruppenrichtlinie clientseitigen Erweiterungen insofern, als sie eine Schnittstelle zum Lesen, Festlegen, Ändern oder Löschen von Konfigurationseinstellungen für ein bestimmtes Feature bereitstellen. In der Regel sind diese Einstellungen Registrierungsschlüsseln, Dateien oder Berechtigungen zugeordnet. Einige dieser Einstellungen sind konfigurierbar, andere sind schreibgeschützt.

Auf der Windows-Clientplattform verwendet der Verwaltungsansatz für Den Desktop CSPs, um alle Geräte zu konfigurieren und zu verwalten, auf denen der Windows-Client ausgeführt wird.

Jeder CSP bietet Zugriff auf bestimmte Einstellungen. So enthält beispielweise der Wi-Fi CSP die Einstellungen für die Erstellung eines WLAN-Profils.

CSPs stehen hinter vielen Verwaltungsaufgaben und Richtlinien für Windows-Clients, sowohl in Microsoft Intune als auch bei Nicht-Microsoft MDM-Dienstanbietern. In Intune verwendet etwa die Richtlinie zum Zulassen von Suchvorschlägen in der Adressleiste von Microsoft Edge das Element Browser/AllowSearchSuggestionsinAddressBar aus dem Policy CSP.

Zuordnung von Intune zu CSP

CSPs erhalten Konfigurationsrichtlinien im XML-basierten SyncML-Format (Synchronization Markup Language), die von einem MDM-kompatiblen Verwaltungsserver gepusht werden, z. B. Microsoft Intune. Herkömmliche Unternehmensverwaltungssysteme, z. B. Microsoft Configuration Manager, können auch auf CSPs ausgerichtet werden, indem eine clientseitige WMI-zu-CSP-Brücke (Windows Management Instrumentation) verwendet wird.

Synchronization Markup Language (SyncML)

Das OMA-DM-Protokoll (Open Mobile Alliance Geräteverwaltung) verwendet das XML-basierte SyncML für den Datenaustausch zwischen kompatiblen Servern und Clients. SyncML bietet einen offenen Standard als Alternative zu herstellerspezifischen Management-Lösungen (z. B. WMI). Der Wert für Unternehmen, die branchenübliche Management-Protokolle übernehmen ist, dass sie die Verwaltung von einer größeren Anzahl von Anbietergeräten über eine einzelne Plattform (z. B. Microsoft Intune) ermöglichen. Geräterichtlinien, einschließlich VPN-Verbindungsprofilen, werden in der Formatierung von SyncML an Clientgeräte zugestellt. Der Ziel-CSP liest diese Informationen und nimmt die erforderlichen Konfigurationen vor.

Die WMI-CSP-Brücke

Die WMI-zu-CSP-Brücke ist eine Komponente, die die Konfiguration von Windows-Client-CSPs mithilfe von Skripts und herkömmlicher Unternehmensverwaltungssoftware wie Configuration Manager mit WMI ermöglicht. Die Brücke ist verantwortlich für das Lesen von WMI-Befehlen; durch eine Komponente mit dem Namen „Standardgerätekonfigurator” wird sie zur einem CSP zur Anwendungen auf dem Gerät weitergeleitet.

Erfahren Sie, wie Sie den WMI-Bridge-Anbieter mit PowerShell verwenden.

Warum sind CSPs interessant?

In der Regel werden Geräte in Unternehmen per Gruppenrichtlinie oder MDM konfiguriert und verwaltet. Bei Geräten unter Windows verwenden MDM-Dienste CSPs, um Ihre Geräte zu konfigurieren.

Darüber hinaus verfügen Sie möglicherweise über nicht verwaltete Geräte oder eine große Anzahl von Geräten, die Sie vor der Registrierung für die Verwaltung konfigurieren möchten. Sie können auch benutzerdefinierte Einstellungen anwenden, die nicht über Ihren MDM-Dienst verfügbar sind. In der CSP-Dokumentation können Sie sich über die konfigurier- oder abfragbaren Einstellungen informieren. Sie können sich auch über alle verfügbaren Konfigurationseinstellungen informieren.

CSPs im Windows-Konfigurations-Designer

Sie können Windows Configuration Designer verwenden, um Bereitstellungspakete zu erstellen, um Einstellungen auf Geräte während der Out-of-Box-Erfahrung (OOBE) und nach der Einrichtung der Geräte anzuwenden. Sie können auch Bereitstellungspakete verwenden, um die Konnektivität eines Geräts zu konfigurieren und das Gerät bei MDM zu registrieren. Viele der Laufzeiteinstellungen in Windows-Konfigurations-Designer basieren auf CSPs.

Viele Einstellungen in Windows-Konfigurations-Designer zeigen im mittleren Bereich eine Dokumentation für die entsprechende Einstellung an und enthalten ggf. einen Verweis auf den CSP (wie in der folgenden Abbildung zu sehen).

In Windows Configuration Designer, wie Hilfeinhalte in ICD angezeigt werden.

Bereitstellungspakete im Windows-Client erläutert, wie Sie das Tool Windows Configuration Designer verwenden, um ein Laufzeitbereitstellungspaket zu erstellen.

CSPs in MDM

Die meisten CSPs werden über Ihren MDM-Dienst dargestellt. Falls Sie eine Funktion eines CSPs nutzen möchten, diese in Ihrem MDM-Dienst aber nicht finden, bitten Sie Ihren MDM-Anbieter um Unterstützung. Sie wird möglicherweise anders benannt als erwartet. Die von MDM unterstützten CSPs finden Sie in der Referenz zum Konfigurationsdienstanbieter.

Wenn ein CSP zwar verfügbar, aber nicht explizit in Ihrer MDM-Lösung enthalten ist, können Sie diesen CSP unter Umständen mithilfe von OMA-URI-Einstellungen nutzen. In Intune können Sie Einstellungen beispielsweise mithilfe benutzerdefinierter Richtlinien bereitstellen. Für Intune steht eine unvollständige Liste mit Einstellungen zur Verfügung, die Sie im Abschnitt für die OMA-URI-Einstellungen einer benutzerdefinierten Richtlinie eingeben können, falls Ihr MDM-Dienst diese Erweiterung bereitstellt. Die Bedeutung der zulässigen und standardmäßigen Werte wird in der Liste nicht erklärt, kann aber in der CSP-Referenzdokumentation ermittelt werden.

CSPs in XML-Sperrmoduscode

Verwenden der CSP-Dokumentation

Alle CSPs sind in der Referenz zum Konfigurationsdienstanbieter dokumentiert.

In der CSP-Referenz erfahren Sie, welche CSPs in jeder Edition von Windows unterstützt werden. Außerdem finden Sie Links zur Dokumentation für jeden einzelnen CSP.

Die CSP-Referenz zeigt die unterstützten Windows-Editionen an.

Die Dokumentation für die einzelnen CSPs ist immer gleich aufgebaut. Nach einer Einführung mit einer Erläuterung des Zwecks des CSPs folgt ein Strukturdiagramm mit den Komponenten des CSPs.

Der vollständige Pfad zu einer bestimmten Konfigurationseinstellung wird durch die Open Mobile Alliance dargestellt – Uniform Resource Identifier (OMA-URI). Der URI ist relativ zum Stammknoten des Geräts (z. B. MSFT). Von einem bestimmten CSP unterstützte Funktionen können durch den vollständigen Pfad der OMA-URI festgelegt werden.

Das folgende Beispiel zeigt das Diagramm für den AssignedAccess CSP. Das Diagramm zeigt den Zusammenhang mit dem XML-Code für diesen CSP. Beachten Sie die verschiedenen Formen im Diagramm: Abgerundete Elemente sind Knoten, und rechteckige Elemente sind Einstellungen oder Richtlinien, für die ein Wert angegeben werden muss.

Die CSP-Referenz zeigt die CSP-Struktur für zugewiesenen Zugriff an.

Das Strukturdiagrammelement nach dem Stammknoten gibt Aufschluss über den Namen des CSPs. Anhand dieser Struktur können Sie im XML-Code die Teile des URI-Pfads für den CSP und durch Betrachtung des XML-Codes die heranzuziehende CSP-Referenz ermitteln. Beispielsweise können Sie im folgenden OMS-URI-Pfad für die Einstellungen der Kioskmodus-App sehen, dass der AssignedAccess-CSP verwendet wird.

./Vendor/MSFT/AssignedAccess/KioskModeApp

Wenn ein Element im Diagramm kursiv geschriebene Schriftart verwendet, gibt es einen Platzhalter für bestimmte Informationen an, z. B. die Mandanten-ID im folgenden Beispiel.

Der Platzhalter in der CSP-Struktur

Im Anschluss an das Diagramm folgt eine Beschreibung der einzelnen Elemente. Für die einzelnen Richtlinien und Einstellungen werden jeweils die gültigen Werte aufgeführt.

Im AssignedAccess CSPist die Einstellung beispielsweise KioskModeApp. In der Dokumentation erfahren Sie, dass der Wert für KioskModeApp eine JSON-Zeichenfolge mit dem Namen des Benutzerkontos und der Anwendungsbenutzermodell-ID (Application User Model ID, AUMID) der Kioskmodus-App ist.

In der Dokumentation der meisten CSPs ist auch ein XML-Beispiel enthalten.

CSP-Beispiele

CSPs bieten Zugriff auf viele Einstellungen, die für Unternehmen nützlich sind. In diesem Abschnitt werden die CSPs vorgestellt, die für ein Unternehmen nützlich sein könnten.

  • Richtlinien-Konfigurationsdienstanbieter

    Der Richtlinien-CSP ermöglicht es dem Unternehmen, Richtlinien auf dem Windows-Client zu konfigurieren. Einige dieser Richtlinieneinstellungen können auch per Gruppenrichtlinie angewendet werden. Die entsprechenden Gruppenrichtlinieneinstellungen finden Sie in der CSP-Dokumentation.

    Im Policy CSP stehen unter anderem folgende Einstellungen zur Verfügung:

    • Konten, z. B. ob dem Gerät ein Nicht-Microsoft-Konto hinzugefügt werden kann.
    • Anwendungsverwaltung, z. B. ob nur Microsoft Store-Apps zulässig sind.
    • Bluetooth, z. B. die Dienste, die es verwenden dürfen.
    • Browser, z. B. Einschränken des InPrivate-Browsens.
    • Konnektivität, z. B. ob das Gerät über USB mit einem Computer verbunden werden kann.
    • Defender (nur für Desktop), z. B. Tag und Uhrzeit für die Überprüfung.
    • Gerätesperre, z. B. der Typ der PIN oder des Kennworts, die zum Entsperren des Geräts erforderlich ist.
    • Erfahrung, z. B. Zulassen von Cortana.
    • Sicherheit, z. B. ob Bereitstellungspakete zulässig sind.
    • Einstellungen, z. B. das Ändern von VPN-Einstellungen durch den Benutzer.
    • Starten Sie, z. B. das Anwenden eines Standardmäßigen Startlayouts.
    • System, z. B. das Zurücksetzen des Geräts durch den Benutzer.
    • Texteingabe, z. B. die Möglichkeit, dass das Gerät anonymisierte Benutzertexteingabedatenbeispiele an Microsoft senden kann.
    • Aktualisieren Sie beispielsweise, ob das Gerät Microsoft Update, Windows Server Update Services (WSUS) oder Microsoft Store verwenden kann.
    • WLAN, z. B. ob die Internetfreigabe aktiviert ist.

Hier ist eine Liste der CSPs, die auf Windows 10 Enterprise unterstützt werden: